‘审计人员称,关键的6037 Makerdao漏洞可能冻结了选民基金。

安全审计公司齐柏林(Zeppelin)称,计划性贷款平台Makerdao上的一个关键漏洞可能使用户资金无法挽回。

在过去的几周里,Makerdao发现了这一点,他周一向Makerdao平台的代币持有人发出了紧急请求,并在Reddit上写道:

“与CIMBASE和齐柏林的合作伙伴关系,制造商基金会已经参与了第二轮对制造者投票合同的审计。在此过程中,我们发现需要进行关键更新
5建议您将MKR从旧合同中移出,并立即放回您的个人钱包中。“

当时,由于漏洞仍然可能被攻击者利用(如果披露),没有向MKR令牌持有者汇报问题的确切性质。

周四,Zeppelin发布了一份完整的披露,概述了该漏洞可能会如何移动用户令牌并将其永久锁定在Makerdao投票合同中。根据该文件,在4月22日至26日期间发现并分析了漏洞,并通知了Makerdao团队,固定合同将于5月2日接受审计。

在Makerdao Subredit上的一个单独的帖子讨论了新的和不妥协的投票合同的脆弱性和共享信息。“《邮报》解释说,由于MKR持有者退出旧合同,通常每周进行的治理投票和高管投票暂停。

退后一步,Makerdao是受欢迎的钉住美元的Stabiecoin Dai的卓越贷款平台。Makerdao也是一个分散的治理平台,通过该平台,MKR代币持有人有权对DAI贷款协议进行投票和执行更改。

Zeppelin Alejo Salles的研究主管向CoinDesk解释说:“Makerdao管理系统的工作原理是,有几个提案被编码为以太坊地址,人们可以通过将其MKR代币锁定在主投票合同中来投票。”

从本质上讲,齐柏林小组披露的漏洞危害了在Makerdao投票合同中持有的MKR代币。攻击者可以假设将持有的有利于一个Makerdao治理方案的代币移动到另一个竞争方案,并将其永久锁定。

Salles向CoinDesk强调,MKR代币不能从Makerdao投票合同中撤回,而是简单地锁定和移动。

更多审计

据齐柏林齐柏林目前所知,这一漏洞在Makerdao平台上被利用。

然而,Salles指出,它确实有可能有效冻结原始Makerdao投票合同中持有的价值1亿美元的MKR代币。

“这项合同在Makerdao系统中非常重要。它拥有超越其他许多事物的特权,”CoinDesk注意到Salles。“加密行业的安全非常敏感,在这种情况下是可能的,因为Makerdao团队仍然有足够的资金进行更改。”

事实上,非营利MAKODAO基金会持有MKR令牌的最大份额,超过100万的总供给量。鉴于安全漏洞的高度敏感特性,MakKaDaFoundation利用其处置的资金秘密执行状态变化而没有更广泛的公众意识。

“在一个更加分散的系统中,这是马克尔道在不久的将来将要做的,这将是更糟的,”萨莱斯警告说。“因为你必须协调所有这些人,但同时不要对正在发生的事情提高太多的意识。这是不可能的。”

Makerdao投票合同背后的代码是一个更大的代码库的一部分,该库在2017年被Bits的安全公司Trail全面检查过。

当被问到比特的踪迹是否知道今天披露的漏洞时,CEO Dan Guido肯定他们没有,但补充说,自2017年以来,“有许多人致力于该特定代码及其许多依赖项。”

Bits的跟踪本月完成了一项针对备受期待的Makerdao代码的新审计,以支持多抵押品DAI。正如Guido告诉CoinDesk的:

“在对多抵押品DAI进行评估的过程中,我们发现了两个低严重性的安全问题,通过验证无法识别。第一个问题逃过了验证,因为攻击’依赖于时间的推移来实现。第二个问题本质上是经济问题,并描述了一种攻击策略,根据系统的正确行为滥用系统。这些问题由Makerdao.”立即解决。

尽职调查

Zeppelin对Makerdao投票合同的二次审计实际上是由加密货币交换Coinbase签订的。Coinbase已经计划了一段时间,为MKR代币持有人提供与Makerdao投票平台的无缝接口。

“我们带头进行审计,作为我们尽职调查过程的一部分,以支持Coinbase托管产品中的Makerdao投票能力,”Coinbase托管安全主管Alan Leung说。

梁朝伟解释说,持有MKR代币的Coinbase客户不愿意直接与Makerdao投票协议接触,因为“他们不知道风险或风险大于参与行为。”

梁振英表示,Coinbase支持对Makerdao投票联系人代码进行第三方审计的部分努力是确保在Coinbase上构建的与Makerdao接口的功能是安全的。

梁振英对CoinDesk表示:“我们的愿景是为客户提供一个安全的网络参与渠道,作为这一过程的一部分,我们相当深入地探讨了Makerdao合同的运作方式和投票方式。”

随着漏洞被披露和解决,梁朝伟与CoinDesk确认,在CoinBase托管上启动MKR投票功能的意图保持不变。

他对CoinDesk表示:“我们已经做好了准备,确保[我们的界面]是参与Makerdao网络的最安全的方式,因为我们在行动背后贴上了标签。”

通过Shutterstock_锁定图像

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注